Como se mide una vulnerabilidad en un sistema de información

Cada vez que hay un nuevo gusano informático o un ataque de ransomware se habla de vulnerabilidades críticas. ¿Pero quien mide la criticidad de una vulnerabilidad?

Las vulnerabilidades en sistemas de información son bastante comunes. Tanto que semanalmente el equipo de respuesta a incidentes informáticos del gobierno de Estados Unidos (www.us-cert.gov) publica una lista con las vulnerabilidades más importantes. Léase bien, no con todas las vulnerabilidades. La lista completa de vulnerabilidades públicas, o mejor dicho conocidas, está en la base nacional de datos de vulnerabilidades  o NVD (National Vulnerability Database). Esta base de datos es mantenida por NIST - National Institute of Standards and Technologies por sus siglas en inglés.

Las vulnerabilidades están clasificadas por orden de criticidad. Osea según el impacto en la confidencialidad, integridad o disponibilidad de un sistema de información.  En algunos casos extremos una vulnerabilidad puede afectar gravemente los tres elementos de la triada.

La medición del impacto de una vulnerabilidad usa un estándar conocido como CVSS (Common Vulnerability Scoring System) que utiliza varios indicadores para asignar el valor final. Por ejemplo, uno de los parámetros indica la severidad del vector de ataque. Si este vector permite una explotación remota entonces el valor será más alto que si la vulnerabilidad es solo local. Otros parámetros incluyen la facilidad de acceso, el tipo de autenticación y el impacto a la triada C-I-A.

La nota o grado asignado a cada vulnerabilidad es una composición de todos estos parámetros y el valor final va de cero a 10. Siendo 10 el valor asignado a una vulnerabilidad de altísima criticidad. Las fórmulas y los parámetros para el cálculo de la criticidad de una vulnerabilidad es material público y puede ser consultado en cualquier momento. Este sitio ofrece la calculadora de medición de vulnerabilidades.

El valor numérico final permite tener una medición común de fácil comunicación al público y como todo estándar, la medición debe ser reproducible.  

La base de datos nacional de vulnerabilidades (NVD) sigue usando la versión CVSS 2.0 a pesar de que es compatible con la versión CVSS 3.0. La calificación de impacto en CVSS 2.0 es como sigue:

- Bajo si la calificación CVSS está entre 0 .0 y 3.9

- Medio si la calificación CVSS está entre 4.0 y 6.9

- Alto si la calificación CVSS está entre 7.0 y 10.0

Entendiendo el vocabulario de seguridad de información

En el campo de seguridad de la información o seguridad informática se habla continuamente de vulnerabilidades, riesgos y amenazas. Ya he mencionado esos términos en anteriores entregas cuando discutí análisis de riesgo.

Algunos intercambian estos términos y la confusión aumenta cuando se habla del valor de riesgo o la criticidad de una vulnerabilidad. Sin embargo, en nuestro campo estos términos están bien establecidos y es bueno tener clara las definiciones.

Una frase muy común es “vulnerabilidad en la seguridad”. En términos generales, una vulnerabilidad es una falencia o debilidad en un sistema o componente que permitiría a un atacante comprometer la confidencialidad, integridad o disponibilidad del componente o sistema. En alguna literatura es posible encontrar la palabra actor o amenaza en lugar de atacante. La razón es que en la literatura inglesa el término “threat” es empleado y significa la existencia de una circunstancia que tiene el potencial de hacer daño.

El agente que “explota” o toma ventaja de la vulnerabilidad es usualmente un agente “activo”. Es decir, se asume la existencia de un elemento criminal, pero es importante tener presente que en ocasiones la amenaza puede provenir de sucesos naturales que afectan negativamente a un sistema. Por ejemplo, un tornado o inundación. Los profesionales que tratan recuperación de desastre y continuidad de negocios incluyen estos factores no humanos.

En la definición de vulnerabilidad están éstos términos importantes:

- Confidencialidad. Este término se refiere a la restricción a personal autorizado al acceso de datos o información de un sistema. Un ejemplo clásico es la confidencialidad de la historia clínica de un paciente. Solo este último y su médico están autorizados a acceder a la información de la historia clínica.

- Integridad. Como su nombre lo indica la integridad de datos requiere que estos estén completos y no hayan sido alterados. Cualquier cambio debe ser realizado por personal con legítima autoridad. Siguiendo con nuestro ejemplo, solo el médico o enfermera autorizada pueden hacer cambios a la historia clínica del paciente. No sobra decir que los cambios deben dejar registros (o log trails) con hora y fecha del cambio y autor del mismo.

- Disponibilidad. Este término se refiere al acceso a un recurso, datos en este caso. Si un atacante logra negar acceso a un sistema entonces la disponibilidad del sistema ha fallado.

En la literatura inglesa los atributos son conocidos como la triada C-I-A por sus siglas en inglés (Confidentiality, Integrity, Availability). Estos tres atributos son los fundamentos de la seguridad de información y la gestión de riesgo de información se basa en su análisis.